DNS over HTTPS: Wie funktioniert es jetzt schon in Firefox und Chrome?

Marco Kratzenberg

Wer die IT-Presse verfolgt, findet dort immer häufiger die Erwähnung des Protokolls „DNS over HTTPS“ und auch den Hinweis, dass sich Provider dagegen sträuben. GIGA erklärt euch, was diese Technik eigentlich bewirken soll, wie sie euren Datenschutz erhöht und welcher Browser sie unterstützt.

Bilderstrecke starten(16 Bilder)
Datenschutz-Thementag bei GIGA: Das sind die Tipps der Redaktion

Was bedeutet eigentlich DNS over HTTPS?

DNS over HTTPS (DoH) ist eine Methode, um DNS-Anfragen zu verschlüsseln. Das „Domain Name System“ (DNS) ist ein „Telefonbuch des Internets“ und jedes Mal, wenn man irgendeine Web-Adresse aufruft oder einem Link folgt, fragt der Browser üblicherweise beim Anbieter des Internetzugangs an, wo er die Adresse findet.

Man kann in seinem Computer einstellen, dass zum Beispiel alle DNS-Abfragen an den Server 1.1.1.1 gehen. Das kann den Internetzugriff sogar beschleunigen und euer Provider weiß nicht mehr, welche Seiten ihr aufruft. Nun wollen Mozilla mit Firefox und Google mit dem Chrome Browser noch einen Schritt weiter gehen und in Zukunft jede DNS-Abfrage verschlüsseln. Dazu wollen sie das Protokoll DNS over HTTPS in die Browser integrieren und als Standardmethode festlegen.

Bei DNS over HTTPS wird dann jede DNS-Abfrage über einen verschlüsselten HTTPS-Kanal gesendet, sodass niemand mehr mithören kann. Diese Anfragen landen bei einem leistungsfähigen Webserver, der sie dann wiederum an einen digital signierten Nameserver weiterreicht.

Das wird derzeit als großer Sicherheitsgewinn gefeiert, wobei sich der normale User fragt, was es ihm den bringen soll. Diese Frage wird dadurch beantwortet, dass die Provider-Verbände in den USA gerade sogar gegen Google klagen wollen, um DNS over HTTPS zu verhindern.

Windows 10: Datenschutz maximal erhöhen (Tutorial-Video).

Darum protestieren Provider gegen DNS over HTTPS

In den USA und einigen anderen Ländern hat sich ein ziemlich hinterhältiges Geschäftsmodell entwickelt, das die dortigen Internet-Provider durch DNS over HTTPS angegriffen sehen: Jedes Mal, wenn ein Kunde eine Internetseite anfordert, erfolgt eine DNS-Abfrage an den Provider. Dadurch wird die richtige Adresse angesteuert. Gleichzeitig speichern die Provider aber diese Zugriffe und verkaufen die Daten anonymisiert an Werbetreibende und sonstige Datenhändler.

Wenn man also in diesen Daten sieht, wie oft die Kunden der Telekom eBay, Amazon, GIGA oder Pornhub ansteuern, kann man seine Werbung danach ausrichten und die Werbekosten entsprechend kalkulieren. Dementsprechend sind die DNS-Zugriffe ein wertvolles Gut, dass sich diese Unternehmen nicht einfach wegschnappen lassen wollen.

Bislang werden nämlich – auch bei uns – alle DNS-Anfragen im Klartext an den Nameserver des Providers geschickt und können dabei aufgezeichnet werden. Im Endeffekt könnte man sogar protokollieren, wer von wo aus welche Seite aufgerufen hat. Für Werbetreibende oder Strafverfolgungsbehörden sind das wertvolle Informationen, die sich die Provider zumindest in den USA und einigen anderen Ländern bezahlen lassen.

Das Problem der Firmen liegt darin, dass Mozilla und Google angekündigt haben, DNS over HTTPS zukünftig automatisch in ihren Browsern zu aktivieren. Natürlich wird es eine Option geben, das Protokoll abzuschalten, aber erst einmal wird jeder Anwender surfen, ohne dass sein Provider ihn ausspioniert und die Daten verkauft.

DNS over HTTPS im Browser aktivieren – Chrome und Firefox

Es ist ja schon heute möglich, seinen DNS-Server zu ändern und im Betriebssystem oder Router festzulegen, an welcher Stelle sich Browser und Apps die Adressdaten holen sollen. DNS over HTTPS geht noch einen Schritt weiter, verschlüsselt alle Anfragen und Antworten und sendet sie dann zu einem speziellen Webserver, der keine andere Aufgabe hat, als diese Kommunikation sicher abzuwickeln.

Wie man mittlerweile weiß, setzt Mozilla dabei auf den Hoster Cloudflare, während man bei Google noch mit verschiedenen Anbietern experimentiert. Letztendlich soll aber ein leistungsfähiger Anbieter gewählt werden, der zur absoluten Geheimhaltung verpflichtet wird. Weder die Browser-Hersteller noch sonst jemand wird den DNS-Verkehr auswerten oder aufzeichnen.

DNS over HTTPS in Firefox aktivieren

In Firefox könnt ihr ab der Version 60 DNS over HTTPS jetzt schon manuell aktivieren:

  1. Startet den Browser und gebt about:config in die Adresszeile ein.
  2. Möglicherweise müsst ihr noch bestätigen, zu wissen, was ihr tut.
  3. Nun gebt in die Suchzeile des Firefox-Konfigurators network.trr.mode ein und kontrolliert den Wert. Er steht vermutlich auf 0.
  4. Führt einen schnellen Doppelklick auf den Eintrag aus, woraufhin sich ein kleines Fenster öffnet.
  1. Ändert den Wert auf 2 und klickt auf OK. Die Änderung auf 2 bedeutet, dass der Browser zuerst DoH versucht und sollte das nicht klappen, auf den Standardweg zurückgreift.
  2. Jetzt sucht nach network.trr.uri.
  3. Bei diesem Eintrag sollte der Wert https://mozilla.cloudflare-dns.com/dns-query Falls das nicht der Fall ist, öffnet die Bearbeitung mit einem Doppelklick und tragt diesen Wert ein.

Danach nutzt Firefox sofort DNS over http, sobald eine Adresse aufgerufen wird. Ihr könnt das auch prüfen, indem ihr about:networking#dns in die Adresszeile eingebt. Dort werden die zuletzt geladenen DNS-Abfragen aufgelistet und angezeigt, ob sie über einen TRR (Trusted Recursive Resolver) gelaufen sind.

Im Chrome-Browser DNS over HTTPS aktivieren – so geht‘s

Bei Google Chrome wird das DoH-Protokoll über die Kommandozeile aktiviert:

  1. Klickt mit der rechten Maustaste auf das Icon von Google Chrome und wählt anschließend im Kontextmenü Eigenschaften.
  2. Im Eingabefeld Ziel steht der normale Startbefehl von Google Chrome. Den müsst ihr ersetzen durch
chrome.exe --enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST
  1. Speichert die Änderung mit einem Klick auf OK.

Jetzt könnt ihr Chrome starten. Der Browser wird die Adresse 1.1.1.1 als DNS-Server verwenden und den über HTTPS ansprechen.

Ob das bei Chrome oder Firefox geklappt hat und jetzt DNS over HTTPS verwendet wird, könnt ihr ganz einfach testen. Ruft die Adresse https://1.1.1.1/help auf. Neben „Using DNS over HTTPS (DoH)“ sollte jetzt „Yes“ stehen.

Zu den Kommentaren

Kommentare zu diesem Artikel

* Werbung